Kommunikasjon

Kommunikasjon er «limet» i internkontrollen. God kommunikasjon legger til rette for læring, er essensielt for hendelseshåndtering og er det som gjør en virksomhet i stand til å jobbe samlet med informasjonssikkerheten.

    Målgruppe

    • Fagansvarlig informasjonssikkerhet
      • hele beskrivelsen
    • Personer som skal forberede eller lede enkeltaktiviteter
      • enkeltaktiviteter avhengig av ansvarsområde
    Forklaringsmodell som viser de syv hovedaktivitetene i internkontrollen: Ledelsens styring og oppfølging, Vurdering av risiko, Håndtering av risiko, Overvåking og hendelseshåndtering, Måling, evaluering og revisjon, Kompetanse- og kulturutvikling og Kommunikasjon. Piler mellom de ulike aktivitetene viser at kommunikasjonen går på tvers og fra og til ledelsens styring og oppfølging. Kommunikasjon og pilene rundt figuren er uthevet.

    1. Innledning

    God kommunikasjon i virksomheten, både skriftlig og muntlig, er en forutsetning for god styring og kontroll. Dokumentasjon er en viktig del av dette, og virksomheten må ha tydelige føringer for hvordan kommunikasjon og dokumentasjon skal foregå.

    1.1 Hensiktsmessig nivå

    Det er viktig at virksomheten finner et hensiktsmessig nivå på hva som må dokumenteres skriftlig, og hva som i tilstrekkelig grad kan sikres gjennom kompetanse hos, og tillit til de ansatte. Dokumentasjon og kompetanse kan være både supplerende og alternative tiltak. Virksomheten bør også ha et etablert dokumentasjonsrammeverk. Dette er beskrevet nærmere under etableringsaktiviteten Etablere dokumentasjonsrammeverk.

    Vi anbefaler at krav til dokumentasjon bestemmes og tydeliggjøres delvis

    • gjennom virksomhetsledelsens føringer for roller og ansvar i styringen av informasjonssikkerhet
    • som en del av delaktiviteten Delegere og følge opp gjennom linjen
    • som krav til konkrete sikkerhetstiltak når det er viktig for risikoeiere og tiltaksleverandører å få dokumentert at tiltakene faktisk blir fulgt eller gjennomført

    På denne måten kan virksomheten få en risikobasert og behovsorientert dokumentasjon, som samtidig skjer innenfor et tydelig felles dokumentasjonsrammeverk.

    1.2 Aktiviteter

    Under følger en beskrivelse av hver av delaktivitetene. Ledere på alle nivå må systematisk:

    • Formidle nye føringer
    • Dokumentere gjennomførte styringsaktiviteter

    Fagansvarlig informasjonssikkerhet må systematisk:

    • Utarbeide statusrapporter som grunnlag for risikovurderinger
    • Utarbeide saksnotat til virksomhetsledelsens gjennomgang

    Ulike roller må ut fra virksomhetens føringer:

    • Dokumentere etterlevelse av tiltak
    • Føre dialog med overordnet, styrende organ
    • Utføre eventuell ekstern kommunikasjon vedkommende har ansvar for

    Alle ansatte må systematisk bidra til:

    • Kommunikasjon mellom aktiviteter og aktører
    Visuelt skille mellom aktivitetene

    2. Formidle nye føringer

    Ansvarlig for gjennomføring

    • Ledere på alle nivå

    2.1 Om aktiviteten

    Nye føringer må formidles raskt og effektivt til dem som har eller kan få bruk for dem. Føringene må være enkelt tilgjengelig over tid. Det krever normalt at de er dokumenterte, lagret og tilgjengeliggjort på en systematisk måte.

    Ansvaret ligger hos dem som gir føringene. Lagrings- og formidlingskanalene bør være koordinert på virksomhetsnivå, slik at man får en helhet i virksomhetens styringsdokumentasjon, i samsvar med føringene i virksomhetens dokumentasjonsrammeverk.

    Den ansvarlige bør alltid vurdere om det i tillegg er behov for egne informasjonsmøter, opplæringstiltak og lignende. Dette for å forsikre seg om at føringene når frem til rette mottakere, er tilgjengelig når de har behov for dem, er forstått samt at mottakeren har tilstrekkelig kompetanse til å etterleve føringene.

    Krav om slik formidling og slike vurderinger bør nedfelles i virksomhetens retningslinje for roller og ansvar eller tilsvarende.

    Visuelt skille mellom aktivitetene

    3. Dokumentere gjennomførte styringsaktiviteter

    Ansvarlig for gjennomføring

    • Alle ledere og andre som er ansvarlig for å gjennomføre styringsaktivteter og etableringsaktiviteter

    3.1 Om aktiviteten

    Gjennomføring av etableringsaktivitetene og styringsaktivitetene bør som hovedregel dokumenteres skriftlig. Dette kan ofte gjøres enkelt som en del av gjennomføringen, og ansvaret ligger hos de som er ansvarlig for aktiviteten. Arkivering bør skje i samsvar med bestemmelsene i virksomhetens dokumentasjonsrammeverk.

    Ved bruk av gode maler, ved å legge vekt på å dokumentere det viktigste, og ved å gjøre dokumentasjonsarbeidet til en del av virksomhetens ordinære arkiverings- og journalføringsrutiner, vil slik dokumentasjon i liten grad representere vesentlig merarbeid.

    Samtidig vil systematisk dokumentering sikre at både det som er gjort, bakgrunnen for beslutninger og selve beslutningene blir en del av virksomhetens hukommelse. Det vil være viktig og nyttig både som kontrollgrunnlag, og ved behov for etterlevelse, opplæring og oppdateringer.

    Virksomhetens føringer for roller og ansvar bør stille krav til dokumentasjon av gjennomføringen av slike aktiviteter. Der aktivitetene er en del av andre styringsaktiviteter i virksomheten, eksempelvis budsjettering, bør dokumenteringen skje som en del av disse.

    Visuelt skille mellom aktivitetene

    4. Dokumentere etterlevelse av sikkerhetstiltak

    Ansvarlig for gjennomføring

    • Alle som skal etterleve sikkerhetstiltak der det er stilt krav om dokumentasjon av etterlevelse.

    4.1 Om aktiviteten

    Etterlevelse av prosedyrer, rutiner og andre sikkerhetstiltak bør dokumenteres skriftlig dersom tiltakene stiller konkrete krav om det. Hvem som har ansvaret, må komme frem av beskrivelsen av tiltaket.

    Dokumentasjonskrav bør være risikobaserte og klart forankret i behov. Behovene vil variere, avhengig av hvilke risikoer tiltaket skal dekke, type tiltak, kompetanse og kultur blant de ansatte samt behovet for å kontrollere etterlevelse.

    Der risikoeiere, systemeiere fellessystem eller tiltaksleverandører krever dokumentasjon på etterlevelse av sikkerhetstiltak, bør dokumentasjonen legges opp på en måte som ikke oppleves unødvendig eller vesentlig begrensende for annet viktig arbeid. Dersom den gjør det, bør man justere formen, eller vurdere tiltak innen kompetanseheving og kulturutvikling for å styrke forståelsen for hvorfor dokumentasjon er viktig.

    Visuelt skille mellom aktivitetene

    5. Utarbeide statusrapporter som grunnlag for risikovurderinger

    Ansvarlig for gjennomføring

    • Fagansvarlig informasjonssikkerhet

    5.1 Om aktiviteten

    Risikoeiere og systemeiere av fellessystemer skal systematisk vurdere behovet for nye eller oppdaterte risikovurderinger innen eget ansvarsområde. Ved behov må risikovurderingene gjennomføres. For å gjøre gode vurderinger trenger de relevant informasjon.

    5.2 Tilstrekkelig beslutningsgrunnlag

    En del av beslutningsgrunnlaget kan de enkelt skaffe seg selv ved å vurdere hva de har ansvaret for, og status og utfordringer rundt det de har direkte styringsmulighet på.

    For å få et tilstrekkelig beslutningsgrunnlag bør de i tillegg motta rapporter om andre forhold som har betydning for vurderingene. Dette krever en vurdering og oppsummering av en rekke forhold både internt i virksomheten og eksternt, i sammenlignbare virksomheter og nasjonalt.

    5.3 Jevnlig oppdatering av status

    Vi anbefaler at virksomheten får utarbeidet slike oppdaterte statusrapporter minst en gang årlig. De må gjøres tilgjengelig for virksomhetens risikoeiere. Utsendelsen bør tilpasses tidsperioden hoveddelen av vurderingene gjennomføres. Dette vil gjerne være i tilknytning til virksomhetens øvrige planleggingsprosess.

    Det vil normalt være naturlig at fagansvarlig informasjonssikkerhet får ansvaret for å utarbeide rapportene. Vedkommende kan ved behov få bistand fra både eksterne og interne, og virksomhetens system for hendelses- og avvikshåndtering vil være en viktig kilde. Ulike aktører rundt om i virksomheten vil også være viktige informasjonskilder. Både samarbeidspartnere og offisielle rapporter og lignende kan være eksterne kilder.

    5.4 Innhold tilpasset målgruppen

    Innholdet i rapportene bør tilpasses den enkelte virksomhets behov. I utformingen må man være spesielt oppmerksom på hvem som er målgruppen og deres behov.

    Det bør være lett å få oversikt over innholdet. Lesere med ulik bakgrunnskunnskap må raskt kunne finne stoff som er relevant for seg. Rapportene bør være lette å lese. Det bør være et tydelig skille mellom nytt stoff og stoff som er omtalt i tidligere rapporter.

    Utdypninger bør ligge i vedlegg. Man kan ofte henvise til egne utdypningsdokumenter eller oversikter på virksomhetens intranett eller lignende der det er naturlig.

    5.5 Sentrale tema i rapportene

    Sentrale tema i rapportene kan være

    • oppsummering og kategorisering av tidligere registrerte sikkerhetshendelser
    • trender i trussel- og risikobildet hos virksomheten, i lignende virksomheter, i verden generelt
    • oppsummering og trender i interne revisjoner, evalueringer, undersøkelser og målinger
    • sårbarhetsnivå/tiltaksstyrke på felles tiltaksområder
    • oversikt over felles tiltaksleverandører, fellessikring og mulig tilleggssikring

    Krav om utarbeiding av statusrapporten bør være forankret i virksomhetens føringer for roller og ansvar.

    Visuelt skille mellom aktivitetene

    6. Utarbeide saksnotat til virksomhetsledelsens gjennomgang

    Ansvarlig for gjennomføring:

    • Fagansvarlig informasjonssikkerhet

    6.1 Om aktiviteten

    For å sikre at virksomheten har tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet, er det svært viktig å gjennomføre Virksomhetsledelsens gjennomgang.

    For at gjennomgangen skal være effektiv, må det utarbeides et godt saksnotat for møtet. Det vil ofte være naturlig at fagansvarlig informasjonssikkerhet får ansvaret for å utarbeide dette.

    Krav om utarbeiding av saksnotatet bør være forankret i virksomhetens føringer for roller og ansvar.

    Det er viktig å ha en god struktur og konsentrere seg om det viktigste i det som presenteres i hovednotatet. Utdypninger kan legges i vedlegg.

    6.2 Behov for godt beslutningsgrunnlag

    Virksomhetsledelsens gjennomgang inkluderer å ta beslutninger, derfor må saksforholdet opplyses på en slik måte at det gir et godt beslutningsgrunnlag. Anbefalinger bør være tydelige og begrunnede.

    Informasjon må normalt hentes fra ulike kilder både internt og eksternt. Det bør være etablert gode rapporteringsrutiner fra aktuelle aktører til den som utarbeider notatet.

    Dokumentasjon av gjennomførte styringsaktiviteter og etableringsaktiviteter vil være en viktig kilde. Det samme vil virksomhetens system for hendelses- og avvikshåndtering, evalueringer og revisjoner. Både samarbeidspartnere og rapporter fra myndigheter kan være eksterne kilder.

    6.3 Innholdet i gjennomgangen

    I omtalen av aktiviteten Virksomhetsledelsens gjennomgang, under Ledelsens styring og oppfølging, har vi skissert sentrale tema som over tid vil være aktuelle. Notatet bør imidlertid alltid inneholde

    • status på endringer og andre beslutninger fra forrige gjennomgang
    • trender i risikobildet både for virksomheten, nasjonalt og internasjonalt
    • omtale av særskilte risikoer eller risikoområder av strategisk betydning for virksomheten
    • oppsummering av vesentlige avvik i informasjonssikkerheten og arbeidet med styring og kontroll
    • vurdering av årsaker til vesentlige avvik
    • vurdering av om det helhetlige arbeidet med styring og kontroll fungerer effektivt og gir ønskede resultater
    • anbefalte tiltak for forbedring

    Tilpasning til virksomhetens behov og situasjon

    Innholdet i saksnotatet vil variere over tid, avhengig av hvor langt virksomheten er kommet i arbeidet med styring av informasjonssikkerhetsområdet. Ledere kan også ha egne interesser som gir spesielle føringer.

    Hjelp til gjennomføring

    Til utarbeidelse av saksnotat anbefales følgende som hjelp:

    Støttespørsmål til virksomhetsledelsens gjennomgang Bokmål
    Støttespørsmål til verksemdsleiinga sin gjennomgang Nynorsk
    Visuelt skille mellom aktivitetene

    7. Kommunikasjon mellom aktiviteter og aktører

    Alle aktiviteter i styringen av informasjonssikkerhet er avhengig av effektiv kommunikasjon med andre aktiviteter og mellom ulike aktører.

    Alle ansatte bør ha et klart ansvar for å bidra til at riktig informasjon kommer frem til riktig person til riktig tid. Ivaretagelse av lovpålagt taushetsplikt og etterlevelse av krav om unntatt offentlighet, ligger i begrepet riktig informasjon til riktig person.

    7.1 Organisasjonskultur er viktig for god kommunikasjon

    Virksomheten må ha gode støttesystemer som understøtter effektiv kommunikasjon. I tillegg må organisasjonskulturen også understøtte dette.

    Uformell kommunikasjon er også en ordinær og viktig del av en virksomhets organisasjonskultur. Det bør stimuleres til en kultur der ansatte tar opp med sine kollegaer og ledere spørsmål og problemstillinger dersom noe er uklart eller oppleves som uheldig eller uhensiktsmessig. Det kan være både avklarende diskusjoner og innspill om ting som bør forbedres. En forutsetning for en god kultur rundt dette er at ledere tar slike henvendelser på alvor, og at det gis tilbakemeldinger på innspill som gis.

    Viktigheten av slik uformell kommunikasjon og tilretteleggingen for det kan med fordel forankres i virksomhetens føringer. Graden av uformell kommunikasjon og hvor forbedringsorientert den er, kan også være et sentralt målepunkt for virksomhetens kultur.

    7.2 Rapportering til arbeidsgiver

    Det er ikke hensiktsmessig å forankre alle formelle rapporter eller krav til dokumentasjon og tilbakemeldinger i felles retningslinjer. Ofte vil dette være en del av en bestilling fra en oppdragsgiver, for eksempel i tilknytning til

    • aktiviteten Delegere og følge opp gjennom linjen
    • delegering av oppgaver fra for eksempel risikoeiere eller tiltakleverandører til spesielle oppgaveutførere
    • kjøp av eksterne tjenester

    I de fleste sammenhenger er det en fordel om slik rapportering innen informasjonssikkerhet kan kobles til lignende rapportering innen andre områder. På den måten gjøres sentral rapportering rundt styring av informasjonssikkerhetsområdet til en del av den ordinære virksomhetsstyringen.

    7.3 Kommunikasjon i hendelseshåndtering

    Kommunikasjon er en viktig del i virksomhetens hendelseshåndtering.

    Hvordan dette skal skje, bør være nedfelt i beskrivelsen av systemet for hendelses- og avvikshåndtering. Det gjelder for eksempel hva, hvem og hvordan det skal varsles.

    Man bør også være oppmerksom på de nasjonale anbefalingene om åpenhet om IKT-hendelser, utarbeidet i 2015 av Nasjonal sikkerhetsmyndighet (NSM) på oppdrag fra Justisdepartementet.

    Visuelt skille mellom aktivitetene

    8. Dialog med styrende organ

    Virksomheter vil som regel ha behov for å kommunisere om informasjonssikkerhet til et overordnet eller styrende organ. Dette vil normalt være en del av dialogen om styring og kontroll i virksomheten ellers, siden informasjonssikkerhetsarbeidet er en del av helheten.

    Styringsdialogen mellom departement og underliggende statlig virksomhet er et eksempel på slik kommunikasjon. Liknende forhold kan finnes i kommuner og fylkeskommuner, for eksempel mellom kommuneledelse og kommunale foretak. Tilsvarende forhold finnes også mellom et styre og daglig ledelse i private virksomheter. Den daglige ledelsen har det direkte ansvaret for å styre risiko, og er ansvarlig for innholdet i styringsaktivitetene i virksomheten. Det overordnede, styrende organet skal følge opp at den daglige ledelsen har tilstrekkelig styring og kontroll.

    Aktiviteten Virksomhetsledelsens gjennomgang gir toppledelsen kunnskap om risiko for oppgaver og tjenester og kjennskap til status og modenhet på arbeidet med informasjonssikkerhet. Den informasjonen de utarbeider og benytter for egen styring, gir et godt grunnlag for å utarbeide og kommunisere den styringsinformasjonen som overordnet organ har behov for.

    Hjelp til gjennomføring

    Veileder om oppfølging av informasjonssikkerhet i styringsdialogen med et tilhørende dialogverktøy er tilgjengelig som en del av veiledningen om etatsstyring fra Direktoratet for forvaltning og økonomistyring (DFØ). Selv om denne veiledningen er utviklet for styringsdialogen mellom departement og underliggende statlig virksomhet, så kan den benyttes til inspirasjon for tilsvarende arbeid, eller tilpasses og brukes i samme type aktiviteter, av kommuner og fylkeskommuner.

    Visuelt skille mellom aktivitetene

    9. Ekstern kommunikasjon

    Kommunikasjon med personer utenfor virksomheten om risikoer, tiltak, informasjonssikkerhet og lignende, må skje i samsvar med virksomhetens policy og retningslinjer for ekstern kommunikasjon generelt.

    Lovpålagt taushetsplikt og interne føringer om unntatt offentlighet og meroffentlighet etter offentleglova, må ligge til grunn for all ekstern kommunikasjon.